LA GUIDA PRATICA

Valutazione del rischio privacy: ecco come farla usando il tool gratuito di ENISA

Lo strumento online per la valutazione del rischio privacy pubblicato dall’ENISA consente alle PMI di sviluppare le proprie politiche di sicurezza nel trattamento dei dati personali. Ecco una pratica guida illustrata per utilizzarlo al meglio

06 Feb 2020
Diego Padovan

CIPP/E, CDP, Amministratore DPOCC


Lo strumento online per la valutazione del rischio di sicurezza che incombe sul trattamento dei dati personali, pubblicato dall’ENISA in occasione del Data Protection Day 2020, si appresta a diventare un mezzo di rapida consultazione per addetti ai lavori sia per la sua facilità d’uso sia per l’autorevolezza di fonti e autori che hanno contribuito alla sua realizzazione, tra i quali il Garante Privacy Italiano.

L’idea di fondo dell’ENISA è quella di fornire alle PMI europee uno strumento gratuito ed efficace per lo sviluppo delle proprie politiche di sicurezza nel trattamento dei dati personali.

Non solo, i titolari e i responsabili del trattamento, al termine della procedura online, avranno anche a disposizione delle soluzioni per la definizione delle misure c.d. idonee di sicurezza da poter adottare, proposte in funzione del livello di rischio risultante.

ENISA non si limita a rendere accessibile tale strumento, bensì promuove il suo utilizzo anche da parte di soggetti terzi, ovvero auditor e autorità di controllo, per i quali, in realtà, sembra configurarsi più come semplice check-list che come strumento di lavoro.

Valutazione del rischio privacy: ecco come usare il tool ENISA

Accedere al tool è semplicissimo e possibile da qualsiasi dispositivo, seguendo il link presente nella pagina dedicata.

L’utente si trova a disposizione 4 aree, due delle quali sono progettate per fornire le nozioni teoriche necessarie all’utilizzo dello strumento, due invece sono quelle più “operative”, guidando l’utente attraverso una serie di passaggi obbligati per una declinazione pratica del concetto di mitigazione del rischio, attraverso le misure di sicurezza proposte.

Procediamo nel seguito analizzando singolarmente i quattro segmenti del tool ENISA, aggiungendo qualche suggerimento pratico nel loro utilizzo.

RELEVANT ENISA STUDIES

La prima area che ENISA mette a disposizione per l’utente è una mini raccolta di tre documenti pubblicati dall’Agenzia Europea nell’ultimo triennio e che vogliono rappresentare un set di nozioni base per la gestione dei dati personali, con particolare riferimento alle PMI.

Non approfondiremo in questa sede il contenuto dei tre testi, essendo materiale noto e a disposizione ormai da anni, ma è doveroso sottolineare che un loro studio approfondito consente di comprendere nello specifico quanto utile ai fini dell’utilizzo del tool online e rappresentano, in generale, una valida guida applicativa per chi è deputato all’implementazione del sistema di gestione dei dati personali in azienda.

OVERVIEW OF THE METHODOLOGY

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

La seconda area descrive la metodologia utilizzata per la creazione del tool online. Scorrendo la pagina l’utente ritroverà in larga parte il percorso già tracciato con il manuale “Handbook on Security of Personal Data Processing”.

Non tutto il testo è presente, bensì una descrizione sommaria e che rappresenta un utile riferimento prima di intraprendere la valutazione del rischio.

Molto brevemente, ENISA propone un approccio alla valutazione del rischio incentrato in cinque fasi:

  1. definizione dell’operazione di trattamento e del contesto di riferimento;
  2. comprendere e valutare l’impatto di un data breach sui diritti e le libertà degli individui;
  3. identificazione delle minacce e stima della loro probabilità di occorrenza;
  4. valutazione del rischio;
  5. selezione delle misure idonee di sicurezza.

Dette fasi sono i passaggi che comporranno l’area successiva e con le quali l’utente, nei panni del titolare o del responsabile del trattamento, dovrà fare i conti. Pertanto, in caso di dubbio, sarà importante riprendere il manuale summenzionato e approfondirne i passaggi chiave, anche grazie agli esempi ivi contenuti.

EVALUATING THE LEVEL OF RISK FOR A PERSONAL DATA PROCESSING OPERATION

Passando alla terza area disponibile, l’utente avrà a disposizione il tool per la valutazione del rischio vero e proprio.

Diversi consulenti privacy si saranno già imbattuti nella declinazione pratica del “Manuale sulla sicurezza dei dati personali” dell’European Union Agency for Network and Information Security attraverso strumenti autoprodotti più o meno alla portata di tutti (ad es. Excel): in questo caso il tool disponibile online persegue lo stesso obiettivo: il calcolo automatico del valore del rischio.

Il processo di compilazione online delle informazioni che serviranno da input per la metodologia di calcolo automatico del rischio si compone di 6 passaggi, ognuna con campi obbligatori.

In alcuni casi, la possibilità di inserire le informazioni avverrà per mezzo di campi “aperti”, ovvero in cui è possibile inserire del testo liberamente; in altri casi per mezzo di campi a scelta multipla, in cui sarà necessario indicare quale delle alternative presentate è la più aderente alla specifica situazione analizzata.

Nel dettaglio i sei passaggi sono i seguenti:

  1. Definition and Context of the Processing Operation – Rappresenta il punto di partenza della valutazione del rischio ed è essenziale per l’utente al fine di definire i confini del sistema di trattamento dei dati personali oggetto di valutazione. Le informazioni richieste sono relative alle sezioni 4,5,6 & 7 del report ENISA “Handbook on Security of Personal Data Processing”. Dei diversi passaggi a disposizione, si consiglia di prestare particolare attenzione al punto in cui si mettono in evidenza non solo la descrizione delle modalità di processing dei dati, ma le relazioni con i soggetti coinvolti nel trattamento. Tale passaggio sarà (auspicabilmente) una conferma della mappatura dei trattamenti (incluso i mezzi) e delle relazioni data controller-processor che il titolare o il responsabile dovrebbero aver già eseguito in precedenza.
  2. Impact Evaluation – Compilati i campi richiesti nel primo step, si procede con la valutazione dell’impatto sui diritti e sulle libertà fondamentali degli interessati derivanti dalla possibile perdita di sicurezza dei dati, in base ai noti parametri RID (Riservatezza, Integrità, Disponibilità). Ogni passaggio (sono in tutto 3) richiede all’utente di scegliere tra 4 livelli di impatto (Basso, Medio, Alto, Molto alto). Il più alto di questi livelli, al termine dei 3 passaggi, è considerato come il risultato finale della valutazione dell’impatto relativo al trattamento complessivo dei dati personali in analisi. Vale la pena sottolineare che l’analisi di impatto, in termini di “diritti e libertà” degli interessati, va intesa come relativa al diritto alla privacy e non solo, può riguardare infatti anche altri diritti fondamentali, quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione. Tali diritti saranno più o meno a rischio in base al trattamento effettuato in relazione alla realtà organizzativa cui la valutazione si applica e le finalità/modalità di trattamento utilizzate.
  3. Threat Analysis – Concluso il processo di stima di impatto, si procede con la parte relativa all’analisi dei rischi. L’obiettivo è quello di analizzare le minacce correlate al trattamento e valutarne la probabilità di accadimento. L’ENISA propone una serie di passaggi (cinque in tutto), ovvero legati all’ambiente di elaborazione dei dati o risorse di rete (i.e., hardware e software), ai processi e le procedure relativi all’operazione di trattamento dei dati personali, agli attori coinvolti nelle attività di trattamento e infine al settore di attività di business e al volume dei dati trattati. Ognuno di essi porterà alla quantificazione della probabilità di occorrenza delle minacce. È da notare, però, che rispetto alla semplicità di compilazione dei diversi campi, il risultato complessivo finale varierà soprattutto in base alle risposte date nell’ultimo campo di ogni passaggio, ovvero l’indicazione (bassa, media, alta) della probabilità di occorrenza di una minaccia per singola area di valutazione. Detta quantificazione, proprio perché a carattere qualitativo, è tutt’altro che da sottovalutare e presuppone una conoscenza dei processi, delle finalità e dei mezzi di trattamento molto elevata. Per fare un esempio, se un processo di trattamento relativo ad una campagna marketing prevede un uso significativo di mezzi automatizzati, sia internamente, per mezzo di un CRM, sia esternamente, per mezzo di un provider di servizio di e-mail marketing, la stima della probabilità di accadimento di un accesso non autorizzato non può dirsi efficace senza il coinvolgimento del referente IT, del referente marketing e del data processor.
  4. Risk Evaluation – Dopo aver valutato l’impatto dell’operazione di trattamento sui dati personali e la probabilità che si verifichino le relative minacce, il tool ENISA fornisce la valutazione finale del rischio. Questo passaggio non prevede alcuna interazione da parte dell’utente, che ottiene graficamente il risultato delle stime fatte nei passaggi precedenti. Il titolare o responsabile del trattamento avrà a disposizione le misure di sicurezza nel passaggio successivo proprio in base a detto risultato (che sarà alto, medio o basso a seconda degli input elaborati).
  5. Security Measures – Una volta ottenuta la valutazione finale di rischio, come nel caso dell’esempio riportato (quantificata come “bassa”), l’utente avrà accesso ad un set di misure di sicurezza che potrà proporre all’Organizzazione, con utili rimandi ai controlli di sicurezza ISO/IEC 27001:2013. Va sottolineato però che queste non devono essere percepite come obbligatori: a seconda del contesto del trattamento dei dati personali, l’organizzazione potrà comunque prendere in considerazione l’adozione di misure alternative e/o aggiuntive (come quelle reperibili per livelli di rischio più elevati, disponibili cliccando il pulsante “HELP” nella barra verticale di navigazione del portale), a partire dal presupposto che l’elenco proposto di misure di sicurezza elencato non tiene conto di altri requisiti di sicurezza specifici del settore oppure di specifici obblighi normativi (e.g., direttiva e-privacy). Anche quest’area non prevede alcuna interazione.
  6. Export the Analysis and the proposed measures – L’ultimo passaggio è rappresentato dalla possibilità di esportare i dati elaborati. Anche qui non vi è alcuna interazione con l’utente, il quale potrà solamente effettuare un download pdf di tutte le informazioni inserite, insieme al livello di rischio identificato oltre alle misure di sicurezza (tecniche e organizzative) proposte. Questo passaggio mette in evidenza il limite forse più importante del tool online, ovvero che le informazioni inserite non verranno salvate e non sarà più possibile recuperarle una volta chiuso il browser utilizzato per accedere al portale ENISA.

(SELF)ASSESSING THE IMPLEMENTED SECURITY MEASURES

La quarta ed ultima area della piattaforma online è dedicata al controllo periodico delle misure di sicurezza implementate. Si tratta di una sezione per la rivalutazione delle scelte effettuate sia a livello tecnico sia a livello organizzativo, nonché per verificarne lo stato di implementazione.

Tale area è utilizzabile solo nel caso in cui il titolare o il responsabile del trattamento abbia già eseguito una valutazione del livello di rischio per una determinata operazione di trattamento.

L’utente sarà chiamato ad inserire le informazioni relative all’operazione di trattamento in oggetto, il livello di rischio precedentemente elaborato e una breve descrizione delle operazioni di trattamento.

Procedendo, comparirà nel seguito l’elenco di misure ENISA proposte con uno spazio laterale (check-box) nel quale inserire l’informazione sullo stato di adozione della singola misura (se implementato o meno).

Non sono tuttavia presenti altri campi in cui poter inserire commenti o descrizioni sullo stato di avanzamento di misure in corso di implementazione. L’elenco è dunque una utile check-list basata sulle fasi metodologiche proposte dall’ENISA, scaricabile con il pulsante a piè di lista in formato PDF.

Considerazioni finali

Per concludere la guida sul tool online prodotto da ENISA, è interessante notare che lo strumento si configura più come mezzo di rapida consultazione, di esercizio applicativo una tantum, che come strumento di reale applicazione nell’attività quotidiana di conformità GDPR.

In ogni caso è opportuno ricordare al titolare o al responsabile del trattamento che, come ogni strumento di autovalutazione, presuppone delle conoscenze spesso non sono riscontrabili in una sola figura aziendale, bensì in una molteplicità di soggetti che saranno chiamati in causa a seconda della complessità dell’operazione di trattamento analizzata.

Il ruolo del Referente Privacy o del DPO è indiscutibilmente centrale, ma la stima della gravità del rischio non deriva solamente da conoscenze in ambito “GDPR” ma anche in altri settori, come nell’esempio succitato in cui si faceva riferimento al ruolo chiave del responsabile IT.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, il limite del tool rispetto alla possibilità di valutare un trattamento alla volta e alla contestuale impossibilità di memorizzare i risultati precedentemente ottenuti non lo rende particolarmente flessibile e ne limita la portata di utilizzo, così come nel caso dell’area di self-assessment dove, al di là di una check-list (peraltro già reperibile nel manuale ENISA), non sembra esserci altra utilità pratica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4